ثغرة خطيرة في BeyondTrust تُستغل لنشر Web Shells وBackdoors وسرقة البيانات

ثغرة خطيرة في BeyondTrust تُستغل لنشر Web Shells وBackdoors وسرقة البيانات
ثغرة خطيرة في BeyondTrust تُستغل لنشر Web Shells وBackdoors وسرقة البيانات
شارك هذا الخبر

أعلنت فرق بحثية في الأمن السيبراني عن استغلال نشط لثغرة أمنية حرجة في منتجات BeyondTrust Remote Support (RS) وPrivileged Remote Access (PRA)، ما سمح لمهاجمين بتنفيذ سلسلة واسعة من الأنشطة الخبيثة، من بينها نشر Web Shells، وتثبيت أدوات وصول خلفية (Backdoors)، وإجراء عمليات استكشاف الشبكات وسرقة البيانات.

تفاصيل الثغرة والاستغلال

الثغرة، التي تحمل الرمز CVE-2026-1731 وتقييم خطورة 9.9 وفق مقياس CVSS، ناتجة عن فشل في آليات التحقق من المدخلات داخل سكربت thin-scc-wrapper القابل للوصول عبر واجهة WebSocket. هذا الخلل يسمح بحقن وتنفيذ أوامر نظام التشغيل في سياق حساب المستخدم الخاص بالموقع.
ورغم أن الحساب المستهدف ليس حساب الجذر (Root)، إلا أن السيطرة عليه تمنح المهاجمين قدرة على التحكم في إعدادات الجهاز، الجلسات المدارة، وحركة المرور عبر الشبكة.

أنماط الهجمات المكتشفة

بحسب تقرير Palo Alto Networks Unit 42، استغل المهاجمون الثغرة لتنفيذ أنشطة متعددة، منها:

  • استخدام سكربت Python مخصص للوصول إلى حساب إداري.
  • نشر عدة Web Shells في مجلدات مختلفة، بما في ذلك Backdoor بلغة PHP قادر على تنفيذ أوامر مباشرة دون الحاجة إلى كتابة ملفات جديدة.
  • تثبيت برمجيات خبيثة مثل VShell وSpark RAT.
  • استخدام تقنيات OAST للتحقق من نجاح التنفيذ وتحديد الأنظمة المخترقة.
  • تنفيذ أوامر لضغط وتصدير بيانات حساسة، مثل ملفات الإعدادات وقواعد بيانات داخلية ونسخ كاملة من PostgreSQL، إلى خوادم خارجية.
القطاعات المستهدفة

الحملة استهدفت قطاعات متعددة في الولايات المتحدة وفرنسا وألمانيا وأستراليا وكندا، شملت الخدمات المالية والقانونية، التكنولوجيا المتقدمة، التعليم العالي، تجارة الجملة والتجزئة، والرعاية الصحية.

خلفية أمنية وربط بثغرات سابقة

أشارت وحدة Unit 42 إلى أن هذه الثغرة ترتبط بمشكلات متكررة في التحقق من المدخلات، مشابهة للثغرة CVE-2024-12356 التي استغلها مهاجمون مرتبطون بالصين مثل مجموعة Silk Typhoon. هذا الربط يعزز المخاوف من أن الثغرة الجديدة قد تصبح هدفاً لمجموعات تهديد متقدمة.
كما أكدت وكالة CISA الأميركية إدراج الثغرة في قائمة الثغرات المستغلة فعلياً، مشيرة إلى استخدامها في حملات Ransomware.

الكلمات المفتاحية: BeyondTrust, CVE-2026-1731, Remote Support, Privileged Remote Access, Unit 42, Palo Alto Networks, Web Shell, Backdoor, Spark RAT, VShell, OAST, PostgreSQL, CISA, Ransomware, الأمن السيبراني, ,

وسوم
محمد طاهر
محمد طاهر
المقالات: 1255

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة